মাল্টি-লাইসেন্স ডিসকাউন্ট উদ্ধৃতি
ইস্যু DoubleClickjacking শোষণ

DoubleClickjacking শোষণ

ইস্যু সালে Mezo দ্বারা
এতে অনুবাদ করুন:
বাংলা

হুমকি বিশ্লেষকরা সময়-ভিত্তিক দুর্বলতার একটি নতুন চিহ্নিত শ্রেণী উন্মোচন করেছেন যা ক্লিকজ্যাকিং আক্রমণ এবং অসংখ্য উল্লেখযোগ্য ওয়েবসাইট জুড়ে অননুমোদিত অ্যাকাউন্ট অ্যাক্সেস সক্ষম করতে একটি ডাবল-ক্লিক ক্রমকে কাজে লাগায়। DoubleClickjacking নামে ডাকা এই কৌশলটি UI ম্যানিপুলেশনের জন্য একটি অভিনব পদ্ধতির প্রবর্তন করে যা বিদ্যমান নিরাপত্তা ব্যবস্থাকে বাধা দেয়।

ক্লিকজ্যাকিংয়ের জন্য একটি নতুন পদ্ধতি

প্রথাগত ক্লিকজ্যাকিং পদ্ধতির বিপরীতে যা একটি একক ব্যবহারকারীর ক্লিকের উপর নির্ভর করে, DoubleClickjacking পরপর দুটি ক্লিকের মধ্যে সংক্ষিপ্ত বিলম্বের সুবিধা দেয়। যদিও এটি একটি ছোটখাট পরিবর্তনের মতো মনে হতে পারে, এটি কার্যকরভাবে X-Frame-Options হেডার এবং SameSite: Lax/Strict কুকি সেটিংসের মতো সুরক্ষাগুলিকে বাইপাস করে৷

ক্লিকজ্যাকিং, যা UI রিড্রেসিং নামেও পরিচিত, ব্যবহারকারীদের এমন উপাদানগুলির সাথে ইন্টারঅ্যাক্ট করার জন্য প্রতারণা করে যা তারা ক্ষতিকারক বলে মনে করে—যেমন বোতামগুলি-কেবলমাত্র ডেটা অপসারণ বা নিরাপত্তা লঙ্ঘন সহ অনিচ্ছাকৃত ক্রিয়াকলাপ ট্রিগার করার জন্য। DoubleClickjacking ক্লিকগুলির মধ্যে ব্যবধানকে কাজে লাগিয়ে এই ধারণাটিকে পরিমার্জিত করে, আক্রমণকারীদের নিরাপত্তা নিয়ন্ত্রণগুলিকে ওভাররাইড করতে এবং ব্যবহারকারীর ন্যূনতম সম্পৃক্ততার সাথে অ্যাকাউন্ট হাইজ্যাক করার অনুমতি দেয়৷

কিভাবে আক্রমণ কাজ করে

কৌশলটি নিম্নলিখিত ক্রমানুসারে উদ্ভাসিত হয়:

  • একজন ব্যবহারকারী একটি প্রতারণামূলক ওয়েবসাইট পরিদর্শন করে যা হয় স্বয়ংক্রিয়ভাবে একটি নতুন ব্রাউজার ট্যাব খোলে বা তাদের এটি করতে অনুরোধ করে।
  • এই নতুন উইন্ডো, যা একটি রুটিন ক্যাপচা যাচাইকরণ হিসাবে প্রদর্শিত হতে পারে, ব্যবহারকারীকে ডাবল-ক্লিক করার নির্দেশ দেয়।
  • ডাবল-ক্লিক হওয়ার সাথে সাথে, আসল সাইটটি চুপিসারে একটি দূষিত পৃষ্ঠাতে পুনঃনির্দেশ করে—যেমন একটি OAuth অনুমোদনের অনুরোধ।
  • একই সাথে, পপ-আপ উইন্ডোটি বন্ধ হয়ে যায়, যার ফলে ব্যবহারকারী অজান্তে মূল সাইটে একটি সমালোচনামূলক অনুমতির অনুরোধ অনুমোদন করে।

যেহেতু বেশিরভাগ ওয়েব সুরক্ষা প্রতিরক্ষাগুলি শুধুমাত্র একক জোরপূর্বক ক্লিকগুলিকে প্রতিরোধ করার জন্য ডিজাইন করা হয়েছে, এই পদ্ধতিটি কার্যকরভাবে প্রচলিত সুরক্ষাগুলিকে বাইপাস করে৷ X-Frame-Options, SameSite কুকিজ এবং কন্টেন্ট সিকিউরিটি পলিসি (CSP) এর মতো ব্যবস্থা এই হুমকি প্রশমিত করতে পারে না।

প্রতিরোধমূলক ব্যবস্থা এবং দীর্ঘমেয়াদী সমাধান

এই সমস্যাটির সমাধান করার জন্য, ওয়েবসাইট ডেভেলপাররা ক্লায়েন্ট-সাইড সুরক্ষাগুলি প্রয়োগ করতে পারে যেগুলি প্রয়োজনীয় অ্যাকশন বোতামগুলি অক্ষম করে, যদি না কোনও ব্যবহারকারীর দ্বারা শুরু করা মাউস চলাচল বা কীপ্রেস সনাক্ত না হয়। ড্রপবক্স সহ কিছু প্ল্যাটফর্ম ইতিমধ্যেই অননুমোদিত মিথস্ক্রিয়া প্রতিরোধের জন্য এই জাতীয় প্রতিরক্ষামূলক ব্যবস্থা নিযুক্ত করে।

একটি দীর্ঘমেয়াদী সমাধান হিসাবে, নিরাপত্তা বিশেষজ্ঞরা সুপারিশ করেন যে ব্রাউজার বিক্রেতারা ডাবল-ক্লিক-ভিত্তিক আক্রমণগুলিকে কার্যকরভাবে প্রশমিত করার জন্য X-Frame-Options-এর মতো নতুন মান প্রতিষ্ঠা করুন।

ক্লিকজ্যাকিং-এ একটি নতুন টুইস্ট

DoubleClickjacking হল সু-নথিভুক্ত ক্লিকজ্যাকিং কৌশলগুলির একটি বিবর্তন, ব্যবহারকারীর ক্রিয়াকলাপের মধ্যে সূক্ষ্ম সময়ের ব্যবধানকে কাজে লাগিয়ে বৈধ UI উপাদানগুলিকে অবিলম্বে প্রতারণামূলক উপাদানগুলির সাথে অদলবদল করে৷

এই প্রকাশটি ক্রস-উইন্ডো জালিয়াতি (অঙ্গভঙ্গি-জ্যাকিং), আরেকটি ক্লিকজ্যাকিং বৈকল্পিকের পূর্ববর্তী প্রকাশ অনুসরণ করে। এই কৌশলটি ব্যবহারকারীদের একটি আপোসকৃত সাইটে এন্টার বা স্পেস এর মতো কী টিপতে বা ধরে রাখতে প্ররোচিত করে, অনিচ্ছাকৃত ক্রিয়া শুরু করে।

কয়েনবেস এবং ইয়াহু! এর মতো প্ল্যাটফর্মে, আক্রমণকারীরা অ্যাকাউন্ট হাইজ্যাক করার জন্য অঙ্গভঙ্গি-জ্যাকিংয়ের সুবিধা নিতে পারে। যদি কোনও লগ-ইন করা ব্যবহারকারী একটি অনিরাপদ ওয়েবসাইট পরিদর্শন করে এবং এন্টার বা স্পেস টিপে, তাহলে তারা অজান্তে একটি দুর্বৃত্ত OAuth অ্যাপ্লিকেশন অনুমোদন করতে পারে। এটি সম্ভব কারণ উভয় প্ল্যাটফর্মই OAuth অ্যাপ্লিকেশনগুলিকে বিস্তৃত অ্যাক্সেসের অনুরোধ করার অনুমতি দেয় এবং অনুমোদন বোতামগুলিতে অনুমানযোগ্য, স্ট্যাটিক শনাক্তকারী বরাদ্দ করে, যা তাদের শোষণের জন্য সংবেদনশীল করে তোলে।

যেহেতু ক্লিকজ্যাকিং পদ্ধতিগুলি বিকশিত হতে থাকে, নিরাপত্তা দলগুলিকে অবশ্যই ক্রমবর্ধমান পরিশীলিত হুমকি থেকে ব্যবহারকারীর মিথস্ক্রিয়াকে রক্ষা করার জন্য সক্রিয় প্রতিরক্ষা ব্যবস্থা গ্রহণ করতে হবে।

লোড হচ্ছে...